Eylül ayında 17.000'den fazla WordPress web sitesi saldırıya uğradı

The Hacker News'e göre, WordPress platformundaki tagDiv Composer eklentisinde yakın zamanda açıklanan bir güvenlik açığı nedeniyle 9.000'e kadar web sitesi tehlikeye atıldı. Bu hata, kimlik doğrulaması olmayan bilgisayar korsanlarının web uygulaması kaynak koduna kötü amaçlı kod eklemesine olanak tanıyor.

Sucuri güvenlik araştırmacıları, Balada Injector grubunun tagDiv temalarındaki güvenlik açıklarını hedef almasının ilk vaka olmadığını söylüyor. 2017 yazında, iki popüler WordPress teması olan Newspaper ve Newsmag'in bilgisayar korsanları tarafından aktif olarak istismar edilmesiyle büyük ölçekli bir kötü amaçlı yazılım bulaşması meydana geldi.

Balada Injector, Doctor Web tarafından ilk olarak Aralık 2022'de tespit edilen, grubun WordPress eklentilerindeki birden fazla güvenlik açığını istismar ederek tehlikeye atılmış sistemlere arka kapılar yerleştirdiği büyük ölçekli bir operasyondur.

Bu faaliyetlerin temel amacı, ziyaretçileri sahte teknik destek sayfalarına, piyango kazanma sayfalarına ve dolandırıcılık duyurularına yönlendirerek güvenliği ihlal edilmiş web sitelerine yönlendirmektir. 2017'den bu yana 1 milyondan fazla web sitesi Balada Injector'dan etkilenmiştir.

Başlıca operasyonlar, CVE-2023-3169 güvenlik açığından yararlanarak kötü amaçlı kod enjekte etmeyi ve arka kapılar kurarak, kötü amaçlı eklentiler ekleyerek ve web sitesini kontrol edecek yöneticiler oluşturarak web sitelerine erişim sağlamayı içeriyordu.

Sucuri, bunu bir ZIP arşivinden eklenti kurulumunu taklit eden ve onu etkinleştiren otomatik bir program tarafından gerçekleştirilen daha karmaşık saldırılardan biri olarak tanımlıyor. Eylül 2023 sonlarında gözlemlenen saldırı dalgaları, hedeflenen WordPress web sitelerine wp-zexit eklentisini yüklemek için uzak sunuculardan kötü amaçlı yazılım indirip başlatmak amacıyla rastgele kod enjeksiyonu kullanıyordu.